防火墙双机热备配置及组网指导.doc

防火墙双机热备配置及组网指导防火墙双机热备配置及组网指导防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断防火墙双 机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据 防火墙的不同模式下的组网提供组网说明及典型配置1 1: 防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到 HRF的配置，VGMP勺配置，以及VRRP勺配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整， 下面就防火墙的双机热备配置涉及到的命令行做一个 解释说明1.1 1.1 HRP 命令行配置说明HRP是华为的冗余备份协议，Eudemon防火墙使用此协议进行备份组网， 达到链路状态备份的目的， 从 而保证在设备发生故障的时候业务正常HRP协议是华为自己开发的协议,主要是在VGM协议的基础上进行扩展得到的；VGM是华为的私有协议， 主要是用来管理VRRP勺，VGMI也是华为的私有协议，是在 VRRP勺基础上进行扩展得到的不管是 VGMP勺 报文，还是HRP的报文，都是VRRP勺报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判 断出是VGM的报文,HRP的报文，或者是普通的 VRRP勺报文.在Eudemor防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的 servermap表，备份防火墙的黑名单，备份防火墙的配置，以及备份 ASPF模块中的公私网地址映射表和上层会话表等 .两台防火墙正确配置 VRRP VGMP以及HRF之后，将会形成主备关系，这个时候防火墙的命令行上会自 动显示防火墙状态是主还是备，如果命令行上有 HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有 HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。

防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另 外一台为备状态，不可能出现两台都为主状态或者都是备状态的在防火墙的HRP形成主备之后，我们称 HRP勺主备状态为HRP主或者是HRP备状态，在形成HRP的主备 状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的 , 而这些命令将不能在备防火 墙的命令行上执行，这些命令包括ACL接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火 墙上HRP勺配置命令的功能和使用介绍如下：★ hrp enable :HRP 使能命令，使能HRF之后防火墙将形成主备状态★ hrp con figuration check acl : 检查主备防火墙两端的 ACL的配置是否一致执行此命令之后，主备防火墙会进行交互 , 执行完之后可以通过命令行 display hrp configuration check acl 来查看两边的配置是否一致★ hrp con figuration check hrp :检查主备防火墙两端的 HRP的配置是否一致执行此命令之后，主备防火墙会进行交互 ,执行完之后可以通过命令行 display hrp configuration check acl 来查看两边的配置是否一致。

添加防火墙配置会话备份通道通常就是指防火墙心跳★ hrp interface Ethernet/ GigabitEthernet 口 , 此接口用来备份防火墙的会话的防火墙双机热备配置及组网指导★ hrp interface Ethernet 1/0/0 high-availability ：配置防火墙的高可用性接口主要是用来实现防火墙的会话快速备份，如果不配置 high-availability, 会话快速备份的命令将不能使能 , 配置此命令之 后，此接口会被有限选择作为防火墙会话备份的接口在防火墙上配置了 hrp interface 之后，防火墙 选择备份通道的接口为 : 先选择配置的时候带了 high — availability 的接口，如果配置了多个带 high-availability 的接口 , 先选择槽位号和端口号比较小的接口，然后在选择槽位号和端口号比较小的 不带high-availability 的接口接口发生故障导致接口上的 VRRpi于初始化状态或者是接口上的 VRRP 所属的VGM没有使能的时候，防火墙会重新选择备份通道 .★ hrp mirror session enable ：会话快速备份使能命令，此命令使能之后防火墙上对新建的会话或者是 刷新的会话立即备份到对端防火墙上，在配置 high-availability 之后才能配置此命令。

★ hrp mirror packet enable : 报文搬迁使能命令，此命令使能之后，如果 ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话， 会把报文搬迁到另外一台防火墙上， 如果在另外一台防火墙上找到会话,报文根据会话转发，如果找不到会话，直接丢弃 .此功能现在保留 ,但是基本上不再使用，因为 防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上 , 并且报文搬迁占用比较多的带宽 , 所以这个命令推荐不使用★ hrp ospf-cost adjust —enable : 这个命令是在防火墙和路由器组网的时候使用的，在防火墙上配置这个命令后，防火墙发布 OSP F的路由的时候，会判断是主防火墙或者是备防火墙，如果是主防火墙，防火 墙把学习到的路由直接发布出去，如果是备防火墙 ，防火墙把学习到的路由加上一个 COST直再发布出去，这个COST直默认是65535,可以根据需要进行调整，这样和防火墙相连的路由器在计算路由的时候 ，路由就都能指到主防火墙上，路由器把报文转发到主防火墙上在使用防火墙和路由器进行组网起 OSPF协议的时候，尽量保证 OSPF的域小一些，这样在防火墙发生主备倒换的时候， OSPF的路由能尽快收敛，保证业务很快恢复 .★ hrp auto —sync connection-status ：防火墙连接状态备份命令。

防火墙会话备份不分防火墙是主防火墙或者是备防火墙，使能了次命令后，防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火 墙上此命令行在防火墙 hrp enable 执行之后就默认使能了 .★ hrp auto-sync config ：防火墙配置备份命令防火墙上使能此命令后，在主防火墙上配置的命令行如ACL域等都可以自动备份到备防火墙上，保证命令行能实时同步此命令行在 hrp enable 之后就默认使能了，此时在备防火墙上是默认不能配置 ACL等配置的，但是如果需要单独配置，执行 undo hrpauto — sync config就可以在备防火墙上配置此命令行了，主防火墙上执行 ACL等配置发送到备防火墙上不会备执行，如果在主防火墙上执行此命令，主防火墙上将不把配置发送到备防火墙上执行★ hrp auto —sync config batch —backup ：防火墙配置批量备份使能命令使能此命令，在防火墙发生 主备倒换之后，新的主防火墙备自动把配置备份到新的备防火墙上此命令默认是不使能的 ,现在也不推荐使用，因为批量备份将消耗大量的 CPU资源，可能在执行批量备份的时候影响某些业务。

★ hrp sync config ：防火墙配置批量备份命令执行此命令后主防火墙能把自己的配置发送到备防火墙上 执行，此命令行在用户视图下使用，在使能了 hrp 之后才能使用 . 此命令默认是也不推荐使用，因为批量 备份将消耗大量的CPU资源，可能在执行批量备份的时候影响某些业务★ hrp sync connection-status ：手工同步连接状态信息命令，会进行会话，黑名单，地址转换表，以及 AR表等的备份等，同时对于Eudemon 100（来说还会刷新备份的通道★ display hrp :显示当前HRP勺状态信息，主要包括 HRP勺备份通道，HRP勺状态，hrp是否使能快速备份，为 MASTERS态的VGM信息防火墙双机热备配置及组网指导★ display hrp verbose :显示当前 HRP的详细状态信息1.2 1.2 VGMP 配置说明VGMfVrrp group managementprotocol）是VRRP勺组管理协议，同样VGM协议也是华为私有的协议.VGMP 通过把VRRP加入到一个组中进行管理，通过 VGM报文和对端进行协商，确定自己和对端的VGMP勺状态，根 据VGM的状态的主备，把VGM组下面的VRRP勺状态改成和 VGM的状态一致。

VGM状态也分Master和Slave , 同样VGMP艮文是在VRRP报文的基础上进行封装的，它通过 VRRP报文通知对端自己的状态以及和对端进行协商 .防火墙的VGMP功能现在支持两台防火墙之间的 VGMF协商，通过协商，在两台防火墙上形成一主一备的状态，当其中主防火墙发生故障或者其他原因导致 VGMP勺优先级降低的时候，备防火墙的VGM会抢占为主，原来的主防火墙的 VGM会变成备，同时VGM组里面的VRRP也跟随这VGM的状态的变化发生变化通过VGMP 来管理VRRP使VGM为主的防火墙对外发布 VGM组下面的所有的VRRP的虚地址，而VGM为备的防火墙不 对外发布VRRF虚地址，形成VRRP的冗余备份VGM的配置命令的功能和使用介绍如下：★ vrrp group 〈 1 —16>:创建VGMPf理组执行此命令行之后，创建一个VGMPJ理组，并进入此管理组 视图，所有的VGM的配置都在VGM视图下进行配置★ add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口 Ethernet1/0/7 下配置的 VRRP 1加入到此管理组进行管理 .★ add interface Ethernet 1/0/7 vrrp vrid 1 data : 把接口 Ethernet1/0/7 下配置的 VRRP 1 加入到此管理组进行管理，并且把接口 Ethernet1/0/7 作为发送VGM做据报文的通道。

配置了发送 VGM的数据通道之后，VGM才能使能.防火墙的配置同步是通过 VGM的数据通道进行发送的★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ：把接口 Ethernet1/0/7 下配置的VRRP 1加入到此管理组进行管理，并且把接口 Ethernet1/0/7 作为发送VGM数据报文的通道，并且此接 口下的VRRP的或者优先级发生变化的时候不参与到 VGMP优先级的计算通常在防火墙上下行都是交换机组网的情况，心跳口上的 VRRP可以以此种方式加入到 VGM组中.★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1 ：把接口 Ethernet1/0/7 下配置的 VRRP 1加入到此管理组进行管理，并且把接口 Ethernet1/0/7 作为发送VGM数据报文的通道，同时在 VGMPh绑定 ip —link 功能 ip-link 的使用介绍请参考其他文档★ vrrp — group enable:VGMP组使能命令在配置了 VGMF的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送 VGM的报文和对端防火墙进行交互，确定 VGM的主备状态。

★ vrrp — group preempt :配置VGMP!的抢占。